涉外法律 | 美国联邦贸易委员会更新金融机构网络安全保障措施规则
关键词:区块链;人工智能;大数据;智能合约;涉外法律服务;专业律师
本期关键词:《保护客户信息的保障措施》;金融机构;FTC;信息安全;风险评估;问责
本文约2349字,大约需要阅读8分钟。
美国联邦贸易委员会(Federal Trade Commission,下称“FTC”)于10月27日宣布了一项最新规则,加强了金融机构为保护客户金融信息而必须实施的数据安全保障措施。近年来,大范围的数据泄露和网络攻击给消费者带来了严重的伤害,包括金钱损失、身份盗窃和其他形式的财务困境。FTC更新的保障规则要求非银行金融机构,如抵押贷款经纪人、汽车经销商和发薪日贷款机构,开发、实施和维护一个全面的安全系统,以确保客户信息的安全。
联邦贸易委员会消费者保护局(Bureau of consumer Protection)局长Samuel Levine表示:“收集敏感消费者数据的金融机构和其他实体有责任保护这些数据。”“对保障规则的更新详细说明了这些机构必须采取的常识步骤,以保护消费者数据免受网络攻击和其他威胁。”
FTC对保障规则的修改包括了金融机构作为其信息安全计划的一部分必须实施的保障措施的更具体的标准,例如限制谁可以访问消费者数据,以及使用加密技术来保护数据。根据最新的保障规则,机构还必须解释其信息共享做法,特别是金融机构用于访问、收集、分发、处理、保护、存储、使用、传输、处置或以其他方式处理客户安全信息的行政、技术和物理保障措施。与此同时,金融机关必须指定一名具备资格的信息安全管理人员,并定期向理事会或信息安全负责人进行报告。
保障规则是由美国国会根据1999年的《格雷姆-里奇-比利利法案》(the 1999 Gramm-Leach-Bliley Act,下称“GLBA”)强制实施的。GLBA为监管广泛的金融机构的隐私和数据安全提供了一个框架。GLBA要求金融机构向客户提供有关其隐私做法和选择退出权利的信息,并对客户信息实施安全保障。根据GLBA,美国国会要求FTC和其他联邦机构为金融机构建立与某些信息的行政、技术和物理保障相关的标准。因此,公平交易委员会于2002年制定了保障措施规定,并于2003年5月开始实施。
适用范围及对象
保障规则只适用于“出于个人、家庭或家庭目的”的交易。
保障规则只适用于与金融机构有持续关系的消费者的客户信息。
本规则适用于公平交易委员会管辖的金融机构。FTC对GLBA下的金融机构拥有制定规则的权力。最终规则适用范围内的金融机构包括但不限于抵押放款人、“发薪日”放款人、金融公司、抵押经纪人、帐户服务人员、支票出纳、电汇转让人、与金融服务有关的旅行社、托收机构、信贷顾问和其他金融顾问、税务准备公司、非联邦保险的信用合作社、不需要在证券交易委员会注册的投资顾问以及作为发现者的实体。
当前版本的保障规则对金融机构的要求
1. 金融机构应制定、实施和维护一套全面的信息安全计划,该计划包括用于访问、收集、分发、处理、保护、存储、使用、传输、处置或以其他方式处理客户信息的行政、技术和物理保障措施。
2. 信息安全程序必须由一个或多个易于访问的部分编写。
3. 这些保障措施必须与金融机构的规模和复杂性、其活动的性质和范围以及任何有争议的客户信息的敏感性相适应。
4. 必须合理设计保障措施,以确保客户信息的安全和机密性,防止对信息的安全性或完整性造成任何预期的威胁或危害,并防止未经授权的访问或使用该等信息可能对任何客户造成重大损害或不便。
5. 为了制定、实施和维护其信息安全计划,金融机构必须识别出合理可预见的、可能导致未经授权的披露、滥用、更改、销毁或以其他方式泄露此类信息。
6. 金融机构必须设计和实施保障措施,以控制通过风险评估确定的风险,并必须定期测试或以其他方式监测保障措施的关键控制、系统和程序的有效性。
7. 规则要求金融机构评估和调整其信息安全项目的测试和监控的结果,任何材料的变化其业务或业务安排,或任何其他情况下,它知道或有理由知道可能影响材料的信息安全项目。
8. 金融机构还必须指定一名或多名员工来协调信息安全计划。
9. 该规则还要求金融机构采取合理步骤,选择和保留有能力维护客户信息适当保障措施的服务提供者,并要求这些服务提供者通过合同实施和维护该保障措施。
修订内容
修订后的最终规则对现行规则作了五处修改。具体如下:
1. 最终规则对现行规则进行了修订,以包括该规则所要求的信息安全程序的开发和建立的更详细的要求。
现行规则要求金融机构进行风险评估,并制定和实施保障措施,而最终规则规定了详细和具体的风险评估标准,并要求评估必须以书面形式进行。
最终规则还对具体保障措施提出了更具体的规定,要求它们解决访问控制、数据清单和分类、加密、安全开发做法、认证、信息处理程序、变更管理、事件响应和测试等问题。
最终规则还增加了培训人员的机制,以确保制定信息安全计划的能力。这包括安全意识培训,利用合格的个人来管理项目,并验证关键的安全人员采取步骤来保持不断变化的信息安全威胁和应对措施的现有知识。
2. 最终规则增加了一项要求,旨在提高金融机构信息安全项目的问责性,要求任命一名合格的个人。符合资格要求的个人可受雇于金融机构、附属机构或服务提供商。
通过关联公司或服务提供商填写此要求的情况下将要求金融机构做到以下几点:(1)保留最终规则下的合规责任,即不将责任委托给第三方;(2)指定金融机构高级人员负责对符合条件的个人的指导和监督;(3)要求服务提供商维持一个程序,以保护金融机构符合最终规则。
合格个人还必须至少每年向金融机构的董事会或同等级别的机构书面报告信息安全计划的总体状况和最终规则下的合规性,以及影响信息安全计划的重大事项。
3. 最终规则免除了收集5000名以下消费者信息的金融机构的书面风险评估、事件应对计划和向董事会提交年度报告的要求。
4. 最终规则扩大了金融机构的定义,将参与联邦储备委员会认定为金融活动“附带”活动的实体包括在内。这一变化将保障规则的适用范围扩大到“发现者”公司,这些公司将产品或服务的买家和卖家联系在一起,并收集非常敏感的财务信息。这一变化使该规则与其他联邦机构的保障规则相协调,后者将金融活动附带的活动纳入其对金融机构的定义。
5. 最终规则包含了几个定义和相关例子,包括规则本身中的“金融机构”,而不是从另一个相关的FTC规则消费者金融信息隐私规则中合并。
陆续更新,敬请期待
如认为本文侵犯版权,请及时联系闪涛律师团队。
关键词:区块链;人工智能;大数据;智能合约;涉外法
团队介绍
闪涛律师团队专注于提供涉外法律服务、“一带一路”海外投资、跨境争议解决、公司法务、并购、解散、破产、清算、金融、证券、私募、区块链、人工智能、智能合约、大数据等领域。
闪涛律师,广东广信君达律师事务所高级合伙人,广东外语外贸大学法学院教授、硕士研究生导师,中南财经政法大学博士研究生。
闪涛律师是中华全国律师协会涉外法律事务领军人才库人选,司法部“全国千名涉外律师人才名录”,司法部、全国律师协会“一带一路”跨境律师人才库首批成员,司法部、全国律师协会“一带一路”项目沙特阿拉伯国别协调人,广东省涉外律师领军人才库成员。
点一下在看再走吧